大數(shù)據(jù)時代個人信息保護(hù)與利用的價值平衡
——兼論個人信息去身份之不足

李夢雪

(華東政法大學(xué) 法律學(xué)院，上海 200050)

導(dǎo)言

隨著計算機(jī)云技術(shù)、互聯(lián)網(wǎng)+的模式的日益發(fā)展，個人信息不斷被數(shù)字化存儲，人類進(jìn)入到了以數(shù)據(jù)化、網(wǎng)絡(luò)化和智能化為特征的大數(shù)據(jù)時代。[1]針對數(shù)據(jù)進(jìn)行的收集與處理已成為經(jīng)濟(jì)增長的又一原動力，數(shù)字經(jīng)濟(jì)逐漸成為驅(qū)動經(jīng)濟(jì)增長的關(guān)鍵生產(chǎn)要素，各領(lǐng)域、各行業(yè)也紛紛著力開發(fā)和利用這座被譽為“21世紀(jì)的鉆石礦”。然而，數(shù)據(jù)資源價值的挖掘和發(fā)現(xiàn)對個人信息安全和保護(hù)構(gòu)成了挑戰(zhàn)和威脅。2018年11月，消協(xié)在其發(fā)布的《100款A(yù)pp個人信息收集與隱私政策測評報告》中指出，有91 款A(yù)PP收集用戶的“位置信息”“通訊信息”和“手機(jī)號碼”等中存在“越界”的嫌疑，用戶的信息安全難以得到有效的保障。因此，如何在發(fā)掘和利用個人信息的商業(yè)價值的同時，構(gòu)建個人信息保護(hù)的路徑，是我國面臨的現(xiàn)實問題。

大數(shù)據(jù)作為一種重要的資源，其蘊含著巨大的經(jīng)濟(jì)、社會、科研價值，各行業(yè)甚至大國間紛紛圍繞其展開了開發(fā)和應(yīng)用。大數(shù)據(jù)時代，競爭的實質(zhì)就是爭奪對信息占有、控制、分析、處理的“數(shù)據(jù)主導(dǎo)權(quán)”，進(jìn)而獲得“競爭主動權(quán)”。2017年6月1日，順豐、菜鳥為了爭奪消費者的個人數(shù)據(jù)針鋒相對?？梢?，隨著整個時代信息化進(jìn)程的發(fā)展，信息資源成為重要的生產(chǎn)要素、無形資產(chǎn)和社會財富，信息化與經(jīng)濟(jì)全球化相互交織，推動著全球產(chǎn)業(yè)分工深化和經(jīng)濟(jì)結(jié)構(gòu)調(diào)整，重塑著全球競爭格局。[2]然而，大數(shù)據(jù)在創(chuàng)造價值的同時，應(yīng)謹(jǐn)防其產(chǎn)生的負(fù)面影響，如生活干擾、名譽或財產(chǎn)損害、權(quán)益侵犯、信息泄漏，等等[3]。一方面，大數(shù)據(jù)時代下個人的網(wǎng)絡(luò)表達(dá)和在線行為都可以被精準(zhǔn)記錄和分析，“圓形監(jiān)獄”的隱憂日益凸顯[4]。另一方面隨著個人信息經(jīng)濟(jì)價值的凸顯，針對數(shù)據(jù)的攻擊、盜取、濫用、劫持等不法行為日益泛濫，并顯現(xiàn)出集團(tuán)化、技術(shù)化和縱深性等特征，對國家的數(shù)據(jù)生態(tài)管理方式和組織的數(shù)據(jù)安全治理能力提出全新挑戰(zhàn)。

近年來，有許多學(xué)者主張從技術(shù)層面出發(fā)，試圖通過個人信息去身份技術(shù)降低個人信息的可識別程度，以達(dá)到發(fā)揮信息效用、控制信息風(fēng)險的效用。文章試通過厘清個人信息保護(hù)與利用的關(guān)系，論證個人信息去身份化的出發(fā)點值得提倡，但是夸大了技術(shù)的效用，忽視了該問題下所包含的復(fù)雜的社會倫理問題，缺乏可操作性的實施標(biāo)準(zhǔn)，容易走向數(shù)據(jù)權(quán)利保護(hù)的反面。

一、個人信息保護(hù)與利用的利益衡量

數(shù)據(jù)的生命在于普遍流轉(zhuǎn)和后續(xù)利用，個人信息保護(hù)的目標(biāo)是在防止個人信息的濫用的基礎(chǔ)上，充分尊重數(shù)據(jù)權(quán)利人的控制權(quán)。個人信息保護(hù)與利用的路徑應(yīng)密切圍繞這兩者之間展開討論。

云計算、互聯(lián)網(wǎng)大數(shù)據(jù)等技術(shù)促使人類逐漸進(jìn)入數(shù)據(jù)時代，為了緩解信息利用與保護(hù)的沖突，歐美各國基于各自的文化、法律、經(jīng)濟(jì)發(fā)展及政治現(xiàn)實制定的數(shù)據(jù)保護(hù)立法政策，在內(nèi)容與立法價值取向上有所不同[5]，形成了不同的數(shù)據(jù)安全保護(hù)路徑。歐盟在個人數(shù)據(jù)保護(hù)上一直走在世界前列，其立法動態(tài)展現(xiàn)出對個人權(quán)利保障的關(guān)切，《個人數(shù)據(jù)保護(hù)指令》《數(shù)據(jù)保護(hù)基本法規(guī)》《一般數(shù)據(jù)保護(hù)條例》等都在極力創(chuàng)設(shè)數(shù)據(jù)跨境流動的“充分保護(hù)原則”。美國作為數(shù)據(jù)大國，可以說是在信息上崛地而起的國家，采取局部立法和行業(yè)自我約束管理相融合的保護(hù)樣式，主張對個人信息的保護(hù)不應(yīng)對數(shù)據(jù)的自由流通和利用引發(fā)實質(zhì)性的損害。德國依托判例制度賦予個人信息自決權(quán)憲法意義上的一般人格權(quán)地位。由此可見，盡管各國對此規(guī)定不一，但都力求使用立法手段進(jìn)行利益衡量實現(xiàn)對不同利益的合理規(guī)制，以確保權(quán)利保障和數(shù)據(jù)自由流通、利用兩者間的價值平衡。

(一)個人信息的內(nèi)涵分析

個人信息概念產(chǎn)生較晚。Daniel J.Solove 和 PaulM.Schwartz 認(rèn)為，個人信息實質(zhì)上是一種隱私。顯然當(dāng)前針對個人信息有效性保護(hù)不應(yīng)局限于隱私權(quán)的范疇[6]。齊愛民教授指出個人信息是能夠直接或者間接識別特定個人的所有信息[7]。我國已有多部法律對個人信息進(jìn)行了制度性的保護(hù)，《網(wǎng)絡(luò)安全法》第76條第5款將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”。2019年2月份，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會公布了《信息安全技術(shù)個人信息安全規(guī)范(草案)》，在沿用上述個人信息含義的基礎(chǔ)上進(jìn)一步細(xì)化了個人信息收集的程序及要求。歐盟《一般數(shù)據(jù)保護(hù)條例》指出個人數(shù)據(jù)重點在于可識別性?；诖耍髷?shù)據(jù)發(fā)展的背景下個人信息的含義雖不一，但因大數(shù)據(jù)的發(fā)展以及相關(guān)技術(shù)的推廣與應(yīng)用，可識別性成為其重要屬性，但這并不意味著數(shù)據(jù)被剝離了個人可識別的元素，就能規(guī)避信息泄露的風(fēng)險。

(二)個人信息價值分析

大數(shù)據(jù)時代孕育出不同于傳統(tǒng)紙質(zhì)媒體記錄和交匯的信息交流方式?；ヂ?lián)網(wǎng)+模式的成功運行使得公民只需借助一連串的數(shù)據(jù)就可被定位、識別、記錄，我們在互聯(lián)網(wǎng)上留下的信息痕跡，隨著信息質(zhì)和量的積累，碎片化的個人信息逐漸形成個人的“人格剖面圖”。[8]讓我們更為恐慌的是在大數(shù)據(jù)面前，人類宛如透明人，毫無安全感可言，各大平臺以大數(shù)據(jù)推動生活的名義不斷的擠壓我們的生活，侵蝕我們的自由空間，數(shù)字化記憶構(gòu)成了數(shù)字式圓形監(jiān)獄。歐美各國在回應(yīng)如何防止個人信息安全因信息利用、流轉(zhuǎn)、加工而受到侵害問題上，都主張以個人信息的受保護(hù)價值層面作為立足點。美國基于自由的個人自治原則發(fā)展出了一套完善的隱私權(quán)保護(hù)體系，伴隨著數(shù)據(jù)爆炸式增長，進(jìn)而衍生出了個人信息控制理論。但個人對信息的控制不是絕對的，要受到憲法第一修正案的制約，即要保護(hù)個人信息的流轉(zhuǎn)和利用，個人對個人信息的支配利益并非一種排他性的個人權(quán)利。歐盟著眼于人的尊嚴(yán)視角，認(rèn)為個人信息是人的延伸，其對于數(shù)據(jù)主體具有人格尊嚴(yán)價值。本文認(rèn)為，在承認(rèn)個人信息自主價值的同時，也要認(rèn)識到個人信息自產(chǎn)生之日起，便處于公共領(lǐng)域成為一種重要的資源，其蘊藏著極大的經(jīng)濟(jì)、社會、科研價值不容忽視。

1.人格尊嚴(yán)。蘋果公司首席執(zhí)行官曾在2018年的一次電視采訪中說：“個人數(shù)據(jù)隱私對于我們來說是一種人權(quán)。”本文認(rèn)為，個人信息基于數(shù)據(jù)主體的表達(dá)行為而產(chǎn)生，并非當(dāng)然脫離人身，其與人格尊嚴(yán)有著天然的聯(lián)系。人格尊嚴(yán)的法律表現(xiàn)是公民的人格權(quán)，內(nèi)涵自尊與他尊的要求。[9]個人信息作為一種可識別自身的痕跡或者記錄，涉及個人生活的方方面面，其完整性、客觀性影響著個人被識別結(jié)果的真實性程度。在數(shù)據(jù)收集和處理的過程中必然會進(jìn)行信息的二次或多次加工，在此過程中個人信息難免被視為客體對待，而忽視了個人主觀意見，使得本人人格塑造的結(jié)果偏離了原本的預(yù)期。因此，數(shù)據(jù)處理過程中不能忽視數(shù)據(jù)主體的意志，個人信息安全保障應(yīng)首先回應(yīng)人格尊嚴(yán)價值。

2.自主價值。學(xué)界普遍討論的個人信息自決說、控制說，其理論基礎(chǔ)在于認(rèn)可個人信息的自主價值。所謂個人信息自主價值并不必然排斥信息的社會控制，它強(qiáng)調(diào)在廣泛的參與社會交往與尊重本人意愿的基礎(chǔ)上對個人信息的自主使用。信息的自主價值保障了個人人格的獨立自主，決定了個人在社會交往中地位優(yōu)劣與否，而且這種獨立性和地位一直延續(xù)到信息流轉(zhuǎn)的整個過程[10]。有學(xué)者指出個人信息的自主價值核心體現(xiàn)為對信息的控制權(quán)，即數(shù)據(jù)主體有權(quán)了解信息收集、使用、流轉(zhuǎn)的情況。但本文認(rèn)為這種控制權(quán)不應(yīng)具有完全的排他性，否則會嚴(yán)重阻礙經(jīng)濟(jì)、社會的發(fā)展進(jìn)程。

3.經(jīng)濟(jì)價值。楊汝岱教授認(rèn)為數(shù)據(jù)本身就是生產(chǎn)要素，企業(yè)能跟數(shù)據(jù)信息進(jìn)行更為精準(zhǔn)的市場定位，創(chuàng)造更高的效益[11]。此外，由于個人數(shù)據(jù)直接揭示用戶的喜好，反映了市場需求，其應(yīng)用價值日益重要。例如淘寶公司通過云計算及大數(shù)據(jù)分析技術(shù)為商家提供消費趨勢圖、排行榜，以此有助于商家尋求新的消費增長點。美國政府認(rèn)為，通過對數(shù)據(jù)的挖掘、分析、應(yīng)用、疊加應(yīng)用，可以求得新的經(jīng)濟(jì)增長點，創(chuàng)造新的價值。若是國家及企業(yè)能夠?qū)崿F(xiàn)在個人信息保護(hù)基礎(chǔ)上的利用數(shù)據(jù)，必將推動實體經(jīng)濟(jì)和數(shù)字經(jīng)濟(jì)融合發(fā)展。美國于2009年便推出Data.gov，2012年實施《大數(shù)據(jù)研究和發(fā)展計劃》，2016年發(fā)布《聯(lián)邦大數(shù)據(jù)研發(fā)戰(zhàn)略計劃》。以此可以看出，隨著整個社會信息化進(jìn)程的發(fā)展，數(shù)據(jù)具有的經(jīng)濟(jì)價值正在重塑著全球經(jīng)濟(jì)的競爭格局。可以說，我們比以往任何時候都需要借助數(shù)據(jù)實現(xiàn)國家、企業(yè)間、企業(yè)與消費者之間的良性互動。

(三)個人信息保護(hù)和利用價值衡量分析

信息保護(hù)與信息流通并非完全此消彼漲的關(guān)系，數(shù)據(jù)盈利模式與個人網(wǎng)上行為信息保護(hù)之間的關(guān)系不是一個無法破解的 “死結(jié)”。但從價值位階與價值排序的角度分析，人格尊嚴(yán)相對于信息自由而言應(yīng)當(dāng)處于被“擇優(yōu)錄用”的地位[12]，但不意味著偏廢蘊含自由與效率等價值的信息自由。在一個成熟與完備的社會中，信息自由也是民主政治以及公意社會等目標(biāo)的實現(xiàn)基礎(chǔ)，構(gòu)建個人信息保護(hù)制度在維護(hù)人格尊嚴(yán)的同時適當(dāng)促進(jìn)信息自由利用與流通[13]。在進(jìn)行相關(guān)的制度設(shè)計時，立足于特殊語境，劃定權(quán)利邊界，從保護(hù)和應(yīng)用兩個角度兼得的視角加以考慮。有學(xué)者主張個人信息經(jīng)過去身份化處理后，信息實現(xiàn)人格利益與財產(chǎn)利益分離，僅包含財產(chǎn)利益，只是一種美好的幻想。他們錯誤地將個人信息的人格利益和財產(chǎn)利益完全對立，加劇了兩者之間的緊張關(guān)系，稍有不慎將會打破個人信息保護(hù)與利用兩者間的平衡。

二、大數(shù)據(jù)時代下個人信息去身份

我國作為信息化的后起國家，不論是傳統(tǒng)產(chǎn)業(yè)信息化改造、傳統(tǒng)服務(wù)業(yè)和信息服務(wù)業(yè)的發(fā)展都需要從整體上提高信息資源的開發(fā)利用水平，促進(jìn)個人信息的開發(fā)利用當(dāng)屬應(yīng)有之義。[8]46因此，一定要避免個人信息保護(hù)“一刀切”的思路。有學(xué)者主張從個人信息可識別特性出發(fā)，在數(shù)據(jù)處理階段，由數(shù)據(jù)控制者利用技術(shù)手段將個人可識別的信息改變或者刪除，即去身份化或者匿名化，從而實現(xiàn)數(shù)據(jù)的匿名化狀態(tài)。本文認(rèn)為，個人信息去身份化將加強(qiáng)個人信息保護(hù)等同于限制信息自由流通，未能立足于數(shù)據(jù)大爆炸的時代背景，未能區(qū)分特定場景，忽視了實名制的網(wǎng)絡(luò)環(huán)境也有其存在價值。簡而言之，去身份不是“技術(shù)信仰和人身信仰之間”的一個平衡的支點。正如Paui Ohm指出當(dāng)前的匿名技術(shù)所起到的作用十分有限，難以達(dá)到理想的個人信息保護(hù)效果，匿名已經(jīng)成為一個“破碎的承諾”[14]。下文將在厘清個人信息去身份的基本內(nèi)涵的基礎(chǔ)上，考量現(xiàn)有的去身份法律標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，論證去身份化技術(shù)難以做到有效的匿名化，其不符合個人信息價值衡量標(biāo)準(zhǔn)，且無法防控再識別風(fēng)險必然會限縮個人信息的保護(hù)的效力。

(一)去身份的基本內(nèi)涵

同個人信息的概念一樣，個人信息去身份并沒有明確的定義，它多散見于各國的細(xì)碎的法律規(guī)定中，并依托于具體場景存在，具有強(qiáng)烈的主觀性和動態(tài)性，產(chǎn)生于技術(shù)領(lǐng)域，又與法律價值平衡判斷有千絲萬縷的關(guān)系。個人信息去身份源起于計算機(jī)科學(xué)領(lǐng)域的k-anonymity(K-匿名算法)，最早由美國學(xué)者Samarati和Sweeney提出，旨在通過使用刪除標(biāo)識符的方式，切斷用戶敏感數(shù)據(jù)與個人之間的對應(yīng)關(guān)系。近些年來，隨著大數(shù)據(jù)鏈條產(chǎn)業(yè)的深入發(fā)展，個人信息去身份(數(shù)據(jù)匿名化處理)的技術(shù)和法律問題頗受關(guān)注。歐盟作為個人數(shù)據(jù)保護(hù)規(guī)則“全球化”的重要推手，對匿名化信息關(guān)注最早，其在《數(shù)據(jù)保護(hù)指令》(以下簡稱《指令》)指出數(shù)據(jù)保護(hù)原則不適用無法確定的匿名信息。2018年生效的《統(tǒng)一數(shù)據(jù)保護(hù)條例》進(jìn)一步指出匿名化是利用技術(shù)手段將個人數(shù)據(jù)中可識別的信息去除，并且通過這一方式，數(shù)據(jù)主體不會再被識別。匿名化的個人信息不再屬于本條例的保護(hù)范圍，相關(guān)機(jī)構(gòu)可以自由地利用。我國2017年6月施行的《網(wǎng)絡(luò)安全法》指出匿名化信息的兩個特性：無法識別且不可復(fù)原。由此可見，個人信息去身份即數(shù)據(jù)控制者使用技術(shù)手段將信息中可識別到特定的人的信息予以刪除或者改變，去除的對象是可識別信息。

(二)個人信息去身份的不足

1.缺乏行之有效的法律標(biāo)準(zhǔn)。各國確立的去身份信息的法律標(biāo)準(zhǔn)不盡一致，在一定程度上導(dǎo)致信息市場的無序狀態(tài)，阻礙了國家間數(shù)據(jù)經(jīng)濟(jì)的交流和合作。歐盟本著個人信息全面保護(hù)的原則，提出數(shù)據(jù)控制者和其他任何人在考慮所有客觀因素基礎(chǔ)上應(yīng)采取相應(yīng)的措施，刪除數(shù)據(jù)中可識別的部分，即“所有合理可能性標(biāo)準(zhǔn)”。該法律標(biāo)準(zhǔn)下，匿名過于絕對化，數(shù)據(jù)控制者負(fù)擔(dān)的時間成本和處理成本過于繁重，其“有一則否定全部”的標(biāo)準(zhǔn)，這不僅會讓身份識別標(biāo)準(zhǔn)喪失實踐意義，也會制約信息技術(shù)以及信息產(chǎn)業(yè)的發(fā)展[15]，背離了信息保護(hù)的初衷。美國強(qiáng)調(diào)去身份過程中的隱私風(fēng)險評估，確立了專家標(biāo)準(zhǔn)和安全港標(biāo)準(zhǔn)。專家標(biāo)準(zhǔn)即專業(yè)人士資格標(biāo)準(zhǔn)。安全港標(biāo)準(zhǔn)可參見《健康保險流通與責(zé)任法案》，其中對識別符的列舉十分全面，包括了姓名、地域、日期、電話號碼、證件號碼等。但在此標(biāo)準(zhǔn)下再識別風(fēng)險過高，即使刪除了特定識別符，相關(guān)機(jī)構(gòu)可以利用技術(shù)手段檢索與人身不直接相關(guān)信息再次識別到個人，如通過消費習(xí)慣、消費場所、就診醫(yī)院等。實際上，計算機(jī)技術(shù)的發(fā)展以及信息的互通性導(dǎo)致幾乎任何信息都可以直接或者間接檢索到個人身份。因此如果法律盲目地將所有身份可識別信息都納入保護(hù)范圍，那么訴訟案件會激增，嚴(yán)重制約信息產(chǎn)業(yè)的發(fā)展。

2.缺乏通用的身份識別技術(shù)標(biāo)準(zhǔn)。去身份識別技術(shù)最早采用水印、替換等方式對臉、步態(tài)、聲音、指紋等生物信息進(jìn)行去識別處理。近年來，隨著各大網(wǎng)絡(luò)平臺的興起和web3.0時代的到來，個人數(shù)據(jù)的獲取和記錄方式、路徑相較之前大有不同，匿名技術(shù)和標(biāo)準(zhǔn)也隨之改變。計算機(jī)技術(shù)集中在數(shù)據(jù)收集和數(shù)據(jù)發(fā)布這2 個應(yīng)用場景，但當(dāng)前對去身份識別算法的性能評估還沒有形成統(tǒng)一的標(biāo)準(zhǔn)[16]。此外，不是所有的信息環(huán)境都把身份識別視為對個人權(quán)利或利益的侵害，去身份技術(shù)不應(yīng)不加區(qū)別的應(yīng)用于所有信息領(lǐng)域。例如萊斯格主張實名制的網(wǎng)絡(luò)環(huán)境也有其存在價值，近年來，百度、知乎、支付寶等大型網(wǎng)絡(luò)平臺全面實行實名制，若去身份化盲目闖入這些領(lǐng)域，勢必會對網(wǎng)絡(luò)環(huán)境造成難以彌補的損害。本文認(rèn)為一個文明、開放的社會，不能僅僅著眼于防范身份識別，一定程度的信息開放是對網(wǎng)絡(luò)安全的必要保障。

3.走向數(shù)據(jù)權(quán)利保護(hù)的反面。前文已經(jīng)談到，匿名不是絕對的，個人信息去身份后也極有可能通過再識別處理技術(shù)而被復(fù)原。今天，“身份再識別”技術(shù)的發(fā)展，已經(jīng)使得人們無處可匿，數(shù)據(jù)流通中的隱私隨時有暴露的風(fēng)險。美國的個人信息去身份技術(shù)走在世界前列，但個人身份再識別案件仍然頻發(fā)。有些個人信息去身份的忠實擁護(hù)者們主張個人信息去身份只是降低風(fēng)險的一種做法，沒有技術(shù)能夠絕對地保證規(guī)避的風(fēng)險，美國相關(guān)法規(guī)已經(jīng)明確反對信息的再識別，因此再識別風(fēng)險是可控的。

本文認(rèn)為，從再識別風(fēng)險可控的角度出發(fā)論證個人信息去身份的可行性未能充分考量身份后的法律后果，將個人信息推向了權(quán)利保護(hù)的反面。各國普遍將匿名化的信息排除適用數(shù)據(jù)保護(hù)原則。這就引發(fā)一個棘手的問題，隨著信息社會的發(fā)展，個人信息去身份技術(shù)在法律實踐中難以全面適用，再識別可能性時有發(fā)生，難以確保安全徹底的去除個人信息中的可識別信息，因此盲目地排除匿名信息的數(shù)據(jù)保護(hù)資格，必然會導(dǎo)致權(quán)利之殤。

三、數(shù)據(jù)利用與個人信息保護(hù)平衡視角下的法律制度構(gòu)建

數(shù)據(jù)的利用與保護(hù)就如同天平的兩端，如何放置砝碼維持天平的平衡是規(guī)制的難點?，F(xiàn)階段去身份無法突破技術(shù)的局限性，又因缺少適應(yīng)的法律標(biāo)準(zhǔn)，無法促使個人信息保護(hù)和數(shù)據(jù)自由流通兩者間的良性互通。下文在反思傳統(tǒng)的個人信息管理方式基礎(chǔ)上，提倡個人信息保護(hù)的基礎(chǔ)理論應(yīng)實現(xiàn)從個人控制到社會控制的轉(zhuǎn)變，從堵到疏的觀念變革，細(xì)化個人信息分級保護(hù)體系，強(qiáng)化重點領(lǐng)域保護(hù)立法。

(一)變革個人信息管理方式

歐美傳統(tǒng)的個人信息保護(hù)理論完全建立在個人主義的基礎(chǔ)上，強(qiáng)調(diào)數(shù)據(jù)收集環(huán)節(jié)的源頭控制。其中，歐盟《一般數(shù)據(jù)保護(hù)條例》第三章中規(guī)定的數(shù)據(jù)主體享有更證權(quán)、被遺忘權(quán)、限制處理權(quán)等，更是將個人信息控制論推向了極致。本文認(rèn)為，這與個人信息本身的法律屬性不相符合，忽略了信息的公共性和社會性，極易導(dǎo)致個人信息的私權(quán)化。大數(shù)據(jù)爆炸式增長孕育出數(shù)字經(jīng)濟(jì)，在數(shù)字經(jīng)濟(jì)下個人信息能夠以驚人的速度和精確度被收集并加以應(yīng)用，數(shù)字資源正成為比金錢價值更高的資產(chǎn)。在此背景下，若仍堅持個人對個人信息的絕對、普遍的控制，顯然在當(dāng)今高速連接的世界中，顯得不合時宜，且效率越來越低。針對有學(xué)者提出的在數(shù)據(jù)收集、處理等各個環(huán)節(jié)貫徹同意機(jī)制，以保障個人信息的安全。筆者認(rèn)為，這種做法不僅扼殺數(shù)據(jù)紅利，而且夸大了個人對信息的保護(hù)能力。

因此大數(shù)據(jù)時代的個人信息立法應(yīng)符合數(shù)據(jù)利用的發(fā)展趨勢，改變過去重歸屬輕利用的制度設(shè)計[17]。各國應(yīng)結(jié)合具體的使用場景做出詳細(xì)規(guī)范，將規(guī)范的重點放在數(shù)據(jù)處理使用環(huán)節(jié)，弱化數(shù)據(jù)收集環(huán)節(jié)的限制，建立專門的個人數(shù)據(jù)行政監(jiān)管體系，強(qiáng)化社會及公共管理部門對個人信息的保護(hù)責(zé)任。具體到我國，應(yīng)先認(rèn)識到我國現(xiàn)階段的立法存在雜、亂、空的問題，其中“空”是指未設(shè)立專門的數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)，未明確數(shù)據(jù)主體、數(shù)據(jù)控制者與處理者的核心權(quán)利義務(wù)，使得數(shù)據(jù)保護(hù)有名無實。又因我國立法將“同意”作為數(shù)據(jù)收集的使用的前置條件，忽略了數(shù)據(jù)保護(hù)的實質(zhì)內(nèi)涵，在于疏而不是堵?！半s”“亂”則是反映在我國相關(guān)法律法規(guī)的立法層次上，只分散在幾部法律法規(guī)中，而且立法層次較低。因此，我國應(yīng)從社會控制的角度通過對數(shù)據(jù)使用人的行為進(jìn)行法律規(guī)范，設(shè)立專門的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)管。此外行業(yè)自律也是保證個人信息保護(hù)立法具有實踐意義的重要一環(huán)，特別是各大app平臺應(yīng)結(jié)合自身業(yè)務(wù)特點和實踐，制定更具針對性的準(zhǔn)則，例如自2016 年以來，Uber公司不斷改善了數(shù)據(jù)管理條例，并于2018年聘請了第一位首席隱私官和數(shù)據(jù)保護(hù)官。蘋果公司更新隱私說明，美國公民可以打包下載個人數(shù)據(jù)，并告知用戶如何管理隱私數(shù)據(jù)并規(guī)避隱私風(fēng)險。

(二)強(qiáng)化重點領(lǐng)域的個人信息立法保護(hù)

我們每個人時刻都在產(chǎn)生信息，一切的“網(wǎng)絡(luò)軌跡”都將被記錄，如姓名、家庭、財產(chǎn)、職業(yè)、瀏覽記錄等，這些信息構(gòu)成大數(shù)據(jù)的重要源泉。現(xiàn)階段無論是從技術(shù)還是法律層面都很難對所有類別的個人信息進(jìn)行全方位保護(hù)，以加強(qiáng)特殊領(lǐng)域個人信息保護(hù)為突破口，避免“一刀切”的過度保護(hù)，能夠最大程度地降低信息流轉(zhuǎn)的風(fēng)險，實現(xiàn)信息的經(jīng)濟(jì)利益和個人權(quán)利保護(hù)的雙向平衡。

1.完善未成年人個人信息立法。互聯(lián)網(wǎng)時代，未成年人使用網(wǎng)絡(luò)進(jìn)行社交、消費、娛樂等現(xiàn)象很是普遍，但因其心智不成熟，缺乏一定的辨別和認(rèn)知能力。因此應(yīng)為未成年人提供特殊法律保護(hù)[18]50。美國在1998年，為了防止兒童個人信息遭受不良網(wǎng)站的侵犯，國會頒布了《兒童在線隱私保護(hù)法》，附加網(wǎng)站如實告知該網(wǎng)站的隱私權(quán)政策的義務(wù)，并且在征得家長同意后才可收集13歲以下兒童個人信息。我國目前涉及個人信息保護(hù)的法律法規(guī)有將近70部，均在不同程度上強(qiáng)調(diào)了要加強(qiáng)個人信息保護(hù)，但是尚未出臺專門針對未成年個人信息保護(hù)的法律法規(guī)，未成年人個人信息特殊的收集標(biāo)準(zhǔn)和民事救濟(jì)途徑更是空白。我國首個個人信息安全保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》中雖對于未成年人敏感信息的保護(hù)也給予了一定的關(guān)注，在針對未成年人個人敏感信息收集的程序中增加了法定監(jiān)護(hù)人的明示同意的環(huán)節(jié)，但因缺乏配套性實施細(xì)則，在實踐中難以確保法定監(jiān)護(hù)人同意的真實性和有效性。

2.強(qiáng)化個人敏感信息的保護(hù)。數(shù)字經(jīng)濟(jì)的核心在于信息化，因而信息的體量及其收集、處理的效率決定了經(jīng)濟(jì)發(fā)展的速度。因此若對個人信息進(jìn)行不加區(qū)別的全盤保護(hù)，勢必影響一國的經(jīng)濟(jì)走勢。本文認(rèn)為，現(xiàn)階段在考量個人信息中身份可識別度、是否包含隱私信息、信息安全風(fēng)險這三個因素，可把個人信息初步分為敏感隱私信息和一般信息兩個大類。

個人敏感信息與人身利益密切相關(guān)，更具有保護(hù)的迫切性。本文認(rèn)為，針對個人敏感信息的保護(hù)應(yīng)在限制收集和禁止后續(xù)處理原則的基礎(chǔ)上，勾勒出具體且明確的操作規(guī)則進(jìn)而提供可行的合規(guī)指南。在個人信息收集階段，數(shù)據(jù)控制者需在收集前向個人信息主體逐一釋明該信息為何被收集以及收集的必要性，并允許個人信息主體逐項選擇是否提供或同意。當(dāng)個人信息主體拒絕時，數(shù)據(jù)控制者不得通過捆綁產(chǎn)品或服務(wù)各項業(yè)務(wù)功能的方式，使得用戶被迫同意。如個人信息主體不同意使用、關(guān)閉或退出特定業(yè)務(wù)功能，個人信息控制者不得頻繁征求個人信息主體的同意。在個人信息處理環(huán)節(jié)，以禁止處理為原則，利用為例外。利用應(yīng)限于個人明確同意、法律明文規(guī)定、執(zhí)行公務(wù)行為需要等必要情形。對于有效保障公民的合法權(quán)益、及時制止侵害個人信息的行為都具有重要的意義。

四、結(jié)語

信息時代，個人信息保護(hù)和利用不應(yīng)是零和博弈。個人信息去身份無法擺脫技術(shù)上的不規(guī)范，難以從法律上對個人信息進(jìn)行有效的保護(hù)?，F(xiàn)階段我們應(yīng)認(rèn)識到個人信息的公共性和個人信息保護(hù)的社會性，在此基礎(chǔ)上轉(zhuǎn)變個人信息管理方式，加強(qiáng)行業(yè)自律，從社會控制的角度對數(shù)據(jù)使用人的行為進(jìn)行法律規(guī)范。進(jìn)而輔之以重點領(lǐng)域立法保護(hù)，加強(qiáng)對未成年人個人信息以及個人敏感隱私信息的保護(hù)，循序漸進(jìn)提升個人信息保護(hù)的深度和廣度，符合當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展的要求。